shodan
Goto Top

DNS-Problem - nslookup gibt die beiden IP-Adressen des File-Servers in nicht vorhersagbarer Reihenfolge aus

Hallo zusammen,

ich habe hier ein Problem bei der Namensauflösung unseres Domänencontrollers, der mit zwei Netzwerkkarten bestückt ist.

Der Server läuft unter Windows 2000 Server SP4 mit aktiviertem DHCP und DNS. Die eine Netzwerkkarte mit IP 172.16.1.140 ist für das Arbeitsnetz gedacht, die andere mit IP 172.16.100.140 für unser Rechencluster. Die Rechner des Clusters sollen weder die anderen Rechner im Arbeitsnetz noch das Internet (Router mit IP 172.16.1.1) sehen, sondern nur auf eine Freigabe des File-Servers zugreifen können.

Wir haben noch einen zweiten DC, der gleichzeitig auch unser Mail-Server ist (Windows 2000 Server SP4, Exchange 2000 SP3). Dort ist der DNS nicht explizit eingerichtet, bezieht aber wohl seine Infos vom PDC.

Jetzt haben wir hier folgendes Problem:

Exchange verliert ab und zu die Verbindung zum File-Server in der Rolle des globalen Katalogs, sobald der DNS des File-Servers auf beide Subnetze konfiguriert wird.

Hintergrund war der, dass seit ein paar Wochen die Rechner unseres Clusters nach einigen Stunden Laufzeit nicht mehr auf die Domäne und die Freigaben des File-Servers zugreifen konnten. Dies war mit folgenden Fehlermeldungen und Warnungen verbunden:

LSASRV SPNEGO 40960
LSASRV SPNEGO 40961
NETLOGON 5719
AutoEnrollment 15
Userenv 1053
Userenv 1054
MRxSmb 3019
W32Time 14
W32Time 29
DnsAPi 11164

Diese Probleme verschwanden, sobald der DNS des File-Servers auch für das Clusternetz aktiviert wurde. Dummerweise entstanden dabei neue Probleme, denn auf einmal verlor Exchange immer wieder für ein paar Minuten die Verbindung zum File-Server als einzigen globalen Katalog und war währenddessen nicht mit Outlook nutzbar, obwohl sowohl Pings als auch Netzwerkfreigaben zwischen den Servern noch in beide Richtungen funktionierten.

Nachdem ich den Mail-Server ebenfalls zum globalen Katalog gemacht habe, gibt es zwar keine Totalausfälle mehr, aber im Ereignisprotokoll wird nach wie vor immer mal wieder gemeldet, dass der PDC als globaler Katalog nicht verfügbar ist:


MSExchangeDSAccess Topologie Info 2080: DSAccess hat folgende Server gefunden:
w2k-server CDG 0 0 1 0 0 0 0
mail CD- 6 6 0 0 1 1 6

Normalerweise sieht es so aus:

MSExchangeDSAccess Topologie Info 2080: DSAccess hat folgende Server gefunden:
w2k-server CDG 7 7 1 0 1 1 7
mail CD- 6 6 0 0 1 1 6

Da dieses Verhalten wohl kaum normal ist und wohl irgendwie mit der Konfiguration des DNS zusammenhängt, habe ich mal u.a. per nslookup versucht, den Namen aufzulösen - und dabei immer wieder unterschiedliche Ergebnisse bekommen, was die Reihenfolge der beiden IP-Adressen 172.16.1.140 und 172.16.100.140 angeht.

Dabei können die Ergebnisse selbst bei zwei identischen Anfragen mit wenigen Minuten Abstand vom gleichen Rechner und zum gleichen Server wechseln:

C:>nslookup w2k-server w2k-server
Server: w2k-server.xxxxx.tld
Address: 172.16.1.140

Name: w2k-server.xxxxx.tld
Addresses: 172.16.100.140, 172.16.1.140

C:>nslookup w2k-server w2k-server
Server: w2k-server.xxxxx.tld
Address: 172.16.1.140

Name: w2k-server.xxxxx.tld
Addresses: 172.16.1.140, 172.16.100.140

Diese beiden Anfragen wurden im Abstand von nicht mal einer Minute gestellt...

Ich weiss zwar nicht, ob diese wechselnden Antworten mit zufälliger Reihenfolge nur Symptom oder doch Ursache des Exchange-Zugriffsproblems sind, aber ich könnte mir schon vorstellen, dass Exchange aus dem Tritt kommt, wenn ihm bei einer Namensauflösung zuerst eine IP-Adresse aus einem anderen Subnetz gemeldet wird.

Am liebsten wäre mir ja, wenn im Arbeitsnetz nur die 172.16.1.140 gemeldet würde, denn die 172.16.100.140 ist ja nur für das Rechencluster relevant.

Sobald ich im DNS die Zuordnung für die zweite Netzwerkkarte herausnehme, verschwinden die Probleme mit Exchange, dafür kommen die alten Probleme mit dem Rechencluster zurück...

Hat jemand eine Idee, woran das liegen könnte?

Ich habe auch schon versucht, die Reihenfolge im DNS in der Forward-Lookupzone unter Namenserver zu ändern, aber dort gemachte Änderungen werden einfach nicht übernommen. Irgendwie scheinen sich die beiden DCs bei den DNS-Einstellungen gegenseitig zu replizieren und dabei immer mal wieder die Reihenfolge der beiden IP-Adressen umzudrehen.

Leider kann ich nicht genau festmachen, seit wann diese Probleme auftreten, da das Rechencluster nicht die ganze Zeit in Benutzung war. Zeitlich in die Nähe fallen zwei Ereignisse mit dem File-Server, nämlich ein Tausch des Mainboards und den Umzug der Systempartition per Image von einem (herumzickenden) RAID 5 auf eine einzelne IDE-Festplatte. Aber momentan möchte ich eher davon ausgehen, dass es sich um ein reines Konfigurationsproblem handelt... face-smile

Any hints?

Gruß,
Hubert.

Content-ID: 65058

Url: https://administrator.de/contentid/65058

Ausgedruckt am: 19.11.2024 um 20:11 Uhr

AndreasHoster
AndreasHoster 31.07.2007 um 09:21:48 Uhr
Goto Top
Ich habe jetzt die RFCs für DNS nicht alle gelesen, aber meiner Meinung nach muß die Zuordnung von Namen zu IP EINDEUTIG sein, was bei Dir nicht der Fall ist und logischerweise zu Problemen führt.
Wenn die Rechner im Cluster eine andere DNS-Auflösung bekommen sollen, entweder für die einen 2. DNS Server aufsetzen oder halt in der lokalen hosts Datei die andere IP für den einen Rechner hinterlegen.
Oder, wenn machbar, einen 2. Namen für die Clusteradresse nehmen, z.B. cluster-w2k-server.
Damit wäre jeder Name wieder eindeutig.
shodan
shodan 31.07.2007 um 10:04:08 Uhr
Goto Top
Hallo Andreas,

erstmal danke für Deine Antwort! Allerdings ist mir nicht bekannt, wie man einem Rechner in einer Domäne verschiedene Namen inkl. Zuordnung zu verschiedenen Netzwerkkarten geben könnte, erst recht nicht bei einem Domänencontroller mit Windows 2000 Server...

Ausserdem gibt es ja durchaus mehrdeutige Namensauflösungen, z.B. mail.gmx.net wird momentan aufgelöst zu 213.165.64.20 und 213.165.64.21.

Das mit der lokalen HOSTS und LMHOSTS Datei habe ich auf einem Rechner des Clusters schon ausprobiert, aber leider ohne Erfolg. Es kamen trotzdem die besagten Fehlermeldungen von NETLOGON, AutoEnrollment, Userenv, etc., und der Zugriff auf die Server-Freigaben klappte nach ein paar Stunden auch nicht mehr. Erst nach Aktivierung des DNS für das Clusternetz verschwanden diese Probleme.

Da unser Rechencluster gerade Tag und Nacht mit Volldampf läuft und die Server ebenfalls im Produktivitätseinsatz sind, ist es momentan etwas schwierig, eine zeitliche Lücke zu finden, um sowohl Clusterrechner als auch die Server neu zu starten, wenn ich mal was ausprobieren will... face-smile

Kann man denn zwei DNS-Server auf einem einzigen Windows 2000 Server getrennt laufen lassen? Oder muss man nur mehrere Zonen dafür einrichten?

Wo müsste ich Deiner Meinung nach den zweiten Namen für die Clusteradresse 172.16.100.140 eintragen können?

Gruß,
Hubert.
shodan
shodan 03.08.2007 um 08:36:33 Uhr
Goto Top
Hat vielleicht noch jemand eine Idee, woran das mit der ständig wechselnden Reihenfolge der vom DNS gemeldeten IP-Adressen liegen könnte? Oder warum Exchange sonst die Verbindung zum PDC als globalen Katalog immer mal wieder verliert?

Gruß,
Hubert.